четверг, 28 июля 2016 г.

CryptInfinite Ransomware 

DecryptorMax Ransomware


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует уплатить выкуп $500, используя ваучер PayPal MyCash, чтобы вернуть файлы обратно. Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.

  Название различается в зависимости от сайта, с которого загрузилась инфекция. К зашифрованным файлам добавляется расширение .crinf
Активность этого криптовымогателя пришлась на ноябрь-декабрь 2015 г. 

  Записка с требованием выкупа ReadDecryptFilesHere.txt создается в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
Your personal files have been encrypted!
Your documents, photos, databases and other important files have been encrypted using a military grade encryption algorithm.
The only way to decrypt your files is with a unique decryption key stored remotely in our servers. All your files are now
unusable until you decrypt them. You have 24h to pay for the release of your decryption key. After 24h have passed, your
decryption key will be erased and you will never be able to restore your files.
To obtain your unique decryption key you will need to pay $500 using a PayPal MyCash voucher.
If the payment is not sent within 12h the amount to obtain your decryption key will be $1000.
PayPal MyCash vouchers can be purchased at CVS, 7-Eleven, Dollar General, fred`s Super Dollar,
Family Dollar and many other stores.
---
After obtaining your PayPal MyCash voucher code you need to send an email to
silasw9pa@yahoo.co.uk with the following information.
1. Your $500 PayPal MyCash PIN
2. Your encryption ID = <your id>
Shortly after the voucher is received and verified, all your files will be restored to their previous state.
All payments are processed and verified manually, do not try to send invalid PIN numbers.

Перевод записки на русский язык: 
Ваши личные файлы зашифрованы!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с использованием алгоритма шифрования военного класса.
Единственный способ дешифровки файлов - это уникальный ключ дешифрования, хранимый на наших серверах. Все ваши файлы теперь непригодны для использования, пока вы их не дешифруете. У вас есть 24 часа, чтобы заплатить за ключ дешифрования. После 24 часов ключ дешифрования будет стерт и вы не сможете восстановить файлы.
Чтобы получить уникальный ключ дешифрования вам нужно заплатить $500, используя ваучер PayPal MyCash.
Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.
PayPal MyCash ваучеры можно приобрести в CVS, 7-Eleven, Dollar General, fred`s Super Dollar, Family Dollar и во мн. др. магазинах.
---
После получения вашего PayPal MyCash код ваучера нужно отправить по email
silasw9pa@yahoo.co.uk следующую информацию.
1. Ваш $ 500 PayPal MyCash PIN
2. Ваш ID шифрования = <ваш ID>
Вскоре после получения и проверки ваучера все ваши файлы будут восстановлены.
Все платежи обрабатываются и проверяются вручную, не отправляйте неверные номера PIN.

Адреса вымогателей могут быть следующими: 
silasw9pa@yahoo.co.uk
decryptor171@mail2tor.com
decryptor171@scramble.io

  Распространяется с помощью email-спама и вредоносных вложений, в качестве которых выступает документ Word с вредоносными макросами. При открытии выводится сообщение с требованием включит макросы для отображения документа. 

Список файловых расширений, подвергающихся шифрованию: 
.accdb, .bay, .dbf, .der, .dng, .docx, .dxf, .erf, .indd, .mef, .mrw, .odb, .odp, .pdd, .pef, .pptm, .psd, .ptx, .raw, .srf, .xlk, .xls, .ach, .aiff, .arw, .asf, .asx, .avi, .back, .backup, .bak, .bin, .blend, .cdr, .cer, .cpp, .crt, .crw, .dat, .dcr, .dds, .des, .dit, .doc, .docm, .dtd, .dwg, .dxg, .edb, .eml, .eps, .fla, .flac, .flvv, .gif, .groups, .hdd, .hpp, .iif, .java, .kdc, .key, .kwm, .log, .lua, .m2ts, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .msg, .ndf, .nef, .nrw, .nvram, .oab, .obj, .odc, .odm, .ods, .odt, .ogg, .orf, .ost, .pab, .pas, .pct, .pdb, .pdf, .pem, .pfx, .pif, .png, .pps, .ppt, .pptx, .prf, .pst, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rtf, .rvt, .rwl, .safe, .sav, .sql, .srt, .srw, .stm, .svg, .swf, .tex, .tga, .thm, .tlg, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xlr, .xlsb, .xlsm, .xlsx, .yuv,.jpeg,.jpe, .jpg (150 расширений)

Для каждого зашифрованного файла добавляется в реестр ключ HKCU\Software\CryptInfinite\Files\номер. Подробнее >>

Из процесса шифрования исключаются любые файлы, которые содержат следующие строки: Windows, Program Files, KEY, .crinf

При установке вредонос создает уникальный идентификатор жертвы, переименовывает и создать новый исполняемый файл, по имени идентификатора. Исполняемый сохраняется в папке %USERPROFILE%. Пример такого файла test-ADBFFA-G131.exe. 

Расположение: 
C:\Users\<user_name>\<victim-id>.exe

Затем вредонос выполняет следующие команды (удаляет тома теневых копий файлов, отключает восстановление системы и средство восстановления при загрузке, переводя его в статус игнорирования всех ошибок загрузки Windows):
cmd.exe /k vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /k bcdedit.exe /set {default} recoveryenabled No
cmd.exe /k bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

На выполнение этих команд требуются права администратора, и если UAK не отключен, то выйдет уведомление на выполнение Vssadmin.exe. В таком случае нужно отказать в выполнении каждого запрошенного процесса. 

Вредонос будет также завершать выполнение общих приложений, используемых при анализе вредоносного ПО:
TASKKILL /F /IM msconfig.exe
TASKKILL /F /IM rstrui.exe
TASKKILL /F /IM tcpview.exe
TASKKILL /F /IM procexp.exe
TASKKILL /F /IM procmon.exe
TASKKILL /F /IM regmon.exe
TASKKILL /F /IM wireshark.exe
TASKKILL /F /IM LordPE.exe
TASKKILL /F /IM regedit.exe
TASKKILL /F /IM cmd.exe
TASKKILL /F /IM filemon.exe
TASKKILL /F /IM procexp64.exe

По окончании шифрования вредонос вывод перед жертвой экран блокировки, который состоит из нескольких диалогов. Первый содержит основную информацию о том, что случилось с файлами, а второй позволяет проверять и увидеть статус проведенного платежа. 

Если жертва сделала платёж, и это подтвердилось, то появится третий диалог, в котором будет ссылка откуда скачать Decrypter.

DecryptorMax прописывает себя в Автозагрузку системы, меняет обои рабочего стола на свой графический файл z2.bmp с требованиями выкупа. 
Его местонахождение: C:\Users\z2.bmp.

Файлы, добавленные CryptInfinite:
%AppData%\XBMGERoOjZX.exe
%UserProfile%\<id>.exe
C:\Users\<login_name>\z2.bmp

Ключи реестра, добавленные CryptInfinite:
HKCU\Software\CryptInfinite
HKCU\Software\CryptInfinite\Files
HKCU\Software\CryptInfinite\Info
HKCU\Software\CryptInfinite\Info\KEY 000000
HKCU\Software\CryptInfinite\Info\1 000000
HKCU\Software\CryptInfinite\Info\c 23
HKCU\Software\CryptInfinite\Info\m 57
HKCU\Software\CryptInfinite\Info\s 21
HKCU\Software\CryptInfinite\Info\Finish True
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft corporation C:\Users\<login_name>\<id>.exe
HKCU\Control Panel\Desktop\WallpaperStyle "0"
HKCU\Control Panel\Desktop\Wallpaper "C:\Users\<login_name>\z2.bmp" 

Степень распространённости: низкая на данный момент. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *